ログ内の「不可能なクリック」によって狂った
私は隔離された本番環境をステージングし、それのリモートにアクセスしていましたPHP私のローカルMacからのスクリプトhttp://example.com/XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0
次のようにログにクリックが表示されました。
{
"id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
"timestamp":1535672410,
"ip_address":"MY.IP.AD.DR",
"user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/68.0.3440.106 Safari\/537.36",
"referer":null,
"parameter":"XXX"
}
そして、ログの次の行で次のことを目にしたとき、私は私の目を信じられませんでした。
{
"id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
"timestamp":1535672411,
"ip_address":"159.203.81.ADDR",
"user_agent":"Mozilla\/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko\/20100101 Firefox\/33.0",
"referer":"83.222.249.ADDR",
"parameter":"XXX"
}
ちょうど1秒後(「タイムスタンプ」を参照)、まったく同じGETパラメーター(「XXX」)を使用して、偽のユーザーエージェントと偽のリファラーを使用するデジタルオーシャンIP「159.203.81.ADDR」からのクリックがありました。私のローカルマシンが数分前にランダムに生成したID "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0"について彼らが知っていたはずはありません。
これは、私のローカルネットワークが何らかの形で侵害されていることを意味すると思いますか?私のネットワークアクティビティはマルウェアによって盗聴されており、リクエストが非HTTPSであったため、マルウェアは機密情報をスパイするためにそれを複製することができましたか?
ClamAVとMalwarebytesを使用してローカルMacのMalwareをスキャンしましたが、どちらも1つしか見つかりませんでした。どうすればこれの底に到達できますか?ホームルーターがマルウェアに感染している可能性はありますか?
これが関連するかどうかはわかりませんが、最近では、Macとモバイルデバイスで有線の問題が発生しています。たとえば、ランダムなWebサイトを閲覧していると、突然、詐欺の広告Webサイトにリダイレクトされることがあります(「おめでとうございます。情報を入力してください...」)。私はモバイルデバイスでそれらの1つのスクリーンショットを撮りました: https://imgur.com/a/UngqSlJ
サーバーでこのような動作を見たことがあります(数年前):自動化されたプロセスが、ログインしたユーザーからの各要求を再生しようとしました。
私たちの場合、サービスはログインページにTLSを必要としましたが、ログインしたユーザーが非HTTPSページでセッションを続行できるようにしました。ただし、セッションIDはリクエストごとに変更されましたが、使用されたセッションIDは、サーバーに最初に送信されてから数秒間有効です(待ち時間の問題を軽減するため)。
あなたが説明するパターンに気づいたとき、私たちは繰り返しリクエストのソースが誰であるか、または何であるかについて調査しました。再利用されたセッション識別子の無効化タイムアウトを下げたところ、特定のユーザーに対するall要求が繰り返されていることはすぐに明らかになりましたが、パターンが発生したのは特定のユーザーのサブセットのみでした。
このユーザーの異なるサブセットに共通する要因は、すべてのユーザーが中国にいるということでした。これは中国の優れたファイアウォールの機能であると想定し、サービス全体を(必須)HTTPSに切り替え、繰り返しの要求を停止しました。
つまり、簡単に言えば、非TLS接続を介してリモートPHPスクリプトに接続しているため、多くの自動化プロセスを含む誰もがリクエストにリストする可能性があります。これは悪質なことかもしれませんが、どこかで同じように簡単にセキュリティ機能(マルウェア対策の検出など)になる可能性があります。
HTTPSに切り替えて、続行するかどうかを確認します。停止する場合、問題は解決しています。それが続く場合、要求はいずれかのエンドポイント(サーバーまたはローカルマシン)でインターセプトされています。
システムまたはネットワーク上のセキュリティソフトウェアで、アクセスしたURLが有害かどうかを検査する場合があります。攻撃者はセキュリティ会社からのボットを検出した場合、無害なコンテンツを提供しようとすることが多いため、セキュリティ会社とは明らかに関係のないシステムからアクセスすることがよくあります。したがって、マルウェアを見つけるのではなく、システムまたはネットワーク内のすべてのセキュリティソフトウェアを無効にして、問題が消えるかどうかを確認してください。
これにはいくつかの原因が考えられます。私の観点から最も可能性が高いのは何らかの形のマルウェアですが、必ずしもMacにあるとは限りません。
マルウェアの主な問題の1つは次のとおりです。1つの感染ファイル(またはマルウェアの1つのインスタンス)を検出できたとしても、それを削除または破棄しても、必ずしも悪意のあるアクティビティのソースが削除されるわけではありません。それは単なる子ファイルかもしれません。おそらくあなたは何かに感染していたのかもしれませんし、おそらくあなたのモバイルデバイスが感染していたのかもしれません。
だからここに悲しい真実があります:デバイス全体をリセットしないと、これを取り除くチャンスはほとんどありません。 (アップデートとセキュリティに関して)古いまたはメンテナンスが不十分なルーターを使用している場合は、それもリセットする必要があります。フォレンジックの詳細を知りたい場合は、他の方法で使用するかどうかに応じて、ライブシステムでこれを行わないことをお勧めします。悪い知らせを持ってすみません。
この事実に気づきましたか?
ファイアウォールを設定し、ステージング環境を制限しましたか。契約がない場合、NDA企業と署名した可能性がありますが、現在は無効で無効です。または、ビジネスの秘密がある一般的なステージング環境に他の誰かがアクセスした場合、彼らはあなたに対して訴訟を起こす可能性があります。 。これらは、専門のセキュリティサービスを雇ったり探したりせずに遭遇する影響です。
セキュリティエンジニアとしての私の経験にかなり精通しているのと同じくらい、appsecに熟練しているなら。ステージング環境は常にTLSプロトコルを使用し、firewalledである必要があります。iptablesを使用し、企業のイントラネットまたはVPNに属する特定のサブネットのみがこのステージングにアクセスできるようにします。インスタンス。
ベーシック認証を実装するか、ステージングインスタンスをファイアウォールで保護しましたか、それともステージングインスタンスとの通信中にTLSを使用しましたか?
はい/いいえ?
核心の問題
コーポレートVPNを使用しておらず、ステージングインスタンスへのアクセスをIPで制限していないことは間違いありません。注意すべき最初のポイント。
次に、TLSプロトコルが実装されていないため、ネットワーク要求が傍受されます。